
EUがGDPRを簡素化?2025年改革の実務的インパクトとは
中堅成長企業に朗報、「第4次包括パッケージ」がGDPR対応を後押しへ

欧州委員会が2025年5月21日に発表した「第4次包括パッケージ(Fourth Omnibus Package)」は、規制簡素化に向けたEUの第一歩と位置づけられています。本パッケージにより、企業の事務負担が年間4億ユーロ削減されると見込まれています。
改革の中心となるのは、新たに導入される企業カテゴリ「スモール・ミッドキャップ企業(SMC)」で、従業員750人未満、かつ売上高1億5,000万ユーロ以下、または資産額1億2,900万ユーロ以下の企業が対象となります。この改革は、従業員数250人を超えると急激に規制負担が増す「崖っぷち効果(cliff-edge)」の是正を目的としています。
EU域内で事業を展開する企業はもちろん、EU市場を対象とする非EU企業にとっても、データ保護対応の戦略的見直しが求められる重要な動きです。本記事では、その影響を詳しく解説します。
今回のGDPR改正案、何が変わる?
欧州委員会はGDPRを全面改正するのではなく、データ処理のリスクレベルに応じて主要義務を部分的に調整する方針を示しています。目的は、高いデータ保護水準を維持しつつ、過剰な事務負担を軽減することです。主な内容は以下の通りです:
- 急成長企業が「250人の壁」で過剰な規制に直面する状況の是正
- リスクの低いデータ処理活動に関する記録義務の簡素化
- 紙ベース業務からデジタルへの移行の加速化
主な改正点と実務との整合性:
1. 第30条におけるリスクベースの記録義務
これまでのGDPRでは、従業員が250人未満の企業は「一律に」第30条の記録義務を免除されていました。今回の改正案では、このルールをより現実的で柔軟な基準に見直しています:
「従業員750人未満のSMEs(中小企業)およびSMCs(スモール・ミッドキャップ企業)は、個人データの処理がGDPR上“高リスク”に該当する場合のみ、記録の作成が義務付けられる」
この改正により、リスクが低い処理に対する不要な記録義務が削減される一方で、データ主体の権利が特に脆弱となる場面では保護が維持されます。規制の焦点を実務上の現実に近づけるという、欧州委員会の「スマート規制」方針が反映された内容です。
2. 行動規範にSMCを明記
欧州委員会は、GDPR第40条(行動規範)に関する規定についても見直しを提案しています。
現行ルールでは、EU機関および各国のデータ保護当局は、管理者・処理者団体による業界別の責任あるデータ取扱いに向けた枠組み(行動規範)の策定を推進することが求められています。今回の改正案では、スモール・ミッドキャップ企業(SMCs)固有のニーズが、これらの行動規範策定プロセスで明示的に考慮されるよう求められています。
3. 認証制度も見直し対象に
GDPR第42条に定められた認証制度についても、今回の改正案で見直しが提案されています。本来、この制度は市場に明確なメリットをもたらすことが期待されていましたが、現実にはその効果が十分に発揮されませんでした。
そのため欧州委員会は、認証制度をより簡素化し、アクセスしやすくする方向で制度改革を進めています。
形式的手続きから、実効性ある対応へ
今回の「第4次包括パッケージ」は、EUが進める規制の簡素化・合理化政策の一部です。欧州委員会はこの改革を、「EUの規制をすべての人にとって、よりシンプルに、より迅速に、より良くするためのもの」ための取り組みと位置付けています。
GDPRにおいて注目すべきポイントは、これまで組織の規模や売上に基づいて一律に課されていた義務が、今後は処理するデータのリスクに応じて調整されるようになることです。これは、GDPR本来の目的である「個人のデータ権保護と責任あるデータ活用の両立」により沿った方向性です。
問題はGDPRではなく、運用の“複雑さ”
今回の変更は歓迎すべき前進ではありますが、根本的な解決策とは言えません。というのも、問題の本質はGDPRという規則そのものではなく、当局による運用の複雑さにあるからです。
特に、EU域外の企業にとってこの課題は深刻です。EU域内の企業と異なり、主管当局(Lead Authoirty)を持たず、GDPRに関連するあらゆる手続きにおいて40を超える規制当局と個別に対応しなければなりません。たとえば、DPOの任命、データ漏えい時の通知、その他の義務についても同様です。
これを解決するには、GDPRにおける「代理人(Representative)」の役割を強化し、関係者間の調整を担う“ハブ”として機能させることが有効です。これにより、企業側の負担を軽減しつつ、法令遵守の確保を実現することが可能となります。
スマートなデータ保護対応の必要性がますます重要に
欧州委員会による「第4次包括パッケージ」は、急速に成長する企業に対し、コンプライアンスの負担を軽減しようとする明確なメッセージです。GDPRの改正では、全企業に一律に課していた義務を見直し、企業規模やリスクに応じた柔軟な対応を可能にしています。これにより、SMCは成長とデータ保護の両立がしやすくなります。
Prighterは、単なる法令遵守ではなく、リスクを見越した対応を可能にする体制構築をお手伝いします。今の課題を解決したい企業も、将来に備えたい企業も、安心してご相談ください。
一歩先を行くデータ保護対応を。
無料相談で、Prighterの支援内容をご確認ください。